랜섬웨어는 기업이 수년 동안 대처해야 했던 주요 사이버 위협이었으나, 전 세계적으로 팬데믹이 시작된 이후 랜섬웨어의 영향은 전례 없는 수준에 이르렀습니다.평균적으로 많게는 4,000건의 랜섬웨어 공격 2016년 1월 1일 이후 매일 발생했습니다.팬데믹이 시작되자 조직은 분산된 인력을 지원하기 위해 빠르게 적응해야 했고, 이로 인해 디지털 혁신 이니셔티브가 가속화되어 산업 전반으로 조직의 공격 대상이 크게 확대되었습니다.
그 이후로 랜섬웨어의 위협은 계속 커져만 갔습니다. 주요 공격 벡터 — 악성 이메일 — 급증, 몸값 요청 증가 2018년 5,000달러에서 2020년 평균 20만 달러로 증가했으며, 목표치는 계속 증가하고 있습니다. 랜섬웨어를 식탁 문제로 만들기 또한 기업 내 경영진의 관심을 끌고 있습니다. 최고 수준의 정부.이로 인해 기업 이사회의 85% 이상이 2년 전보다 사이버 보안에 더 많이 참여하게 되었습니다. ESG 글로벌 연구에 따르면.
최근 굿윈의 데이비드 칸트로위츠 (David Kantrowitz) 변호사와 함께 헤드라인을 휩쓸고 있는 랜섬웨어에 대해 논의했습니다.Kantrowitz는 금융 산업 그룹 외에도 회사의 복잡한 소송 및 분쟁 해결 실무 담당자이자 데이터, 개인 정보 보호 및 사이버 보안 실무 분야의 일원으로 활발히 활동하고 있습니다.
인터뷰에서 그는 랜섬웨어가 경영진의 관심을 받는 방법과 이유, 랜섬웨어 지불의 적법성, 사이버 보안 리더가 이 주제에 대해 최고 경영진과 이사회 구성원을 추가로 교육해야 하는 방법에 대한 자신의 생각을 공유했습니다.
[귀하의 특정 상황에 대한 사실이 고려되지 않았으므로 답변을 법적 조언으로 해석해서는 안 됩니다.조언이 필요한 특정 상황이 있는 경우 다음 연락처로 문의하시기 바랍니다. 굿윈 프록터 그러면 적절한 변호사와 연결해 줄 수 있습니다.]
질문: 법률 전문가이자 노련한 전문가로서 이 주제에 대해 말씀드리자면, 랜섬웨어에 관한 현재 우리의 입장을 말씀해 주시겠습니까?
데이비드 칸트로위츠 (DK): 변곡점에 와 있는 것 같아요.겨울과 봄에는 활동이 무척 더웠어요.주요 인프라에 대한 공급망 공격과 공격이 전례 없이 발생했습니다.랜섬웨어는 정부 최고 직급에 도달했는데, 이는 우리가 이전에 본 적이 없는 일입니다.이런 종류의 일을 하는 악의적인 공격자들에게 이보다 더 위험한 적은 없었습니다.몇몇 주목할 만한 단체들은 문을 닫거나 암흑에 빠졌습니다.그래서 지금 우리는 악당들이 계속 이런 짓을 해서 정부가 그들을 덮칠 위험을 감수할 것인지, 그만둘 것인지, 아니면 다른 방식으로 재편성하고 재건할 것인지 결정하는 시점에 와 있습니다.다음 랜섬웨어는 이전 유행처럼 보이지 않을 것입니다.
질문: 랜섬웨어는 새로운 유행이 도래할 때마다 조직 내에서, 그리고 지금은 정부 기관 내에서 그 중요성이 점점 더 높아지고 있는 것으로 보입니다.최근의 물결이 관심을 받는 측면에서 어떤 영향을 미쳤을까요?
DK: 기업과 정부 내에서 확실히 최고 수준에 도달했습니다.이제 FBI는 이전에 보지 못했던 방식으로 랜섬웨어에 관심을 보이고 있습니다.기업들은 당연히 준비에 집중하고 있습니다.모두가 다음 피해자가 될까 걱정하고 있습니다.그들은 적절한 보안 예방 조치를 취하는 것뿐만 아니라 공격이 성공할 경우 대응하는 방법도 중요하게 생각하고 있습니다.
질문: 서비스형 랜섬웨어는 위협 환경을 어떻게 변화시켰습니까?
DK: 진입 장벽이 예전보다 많이 낮아졌다는 의미다.현재 우리는 랜섬웨어 자체를 설계한 사람들만큼 정교하지 않을 수도 있는 많은 행위자들을 상대하고 있습니다.그룹마다 인센티브가 다르기 때문에 예측하기가 더 어려워집니다.일부는 이중 갈취를 합니다. 즉, 시스템을 암호화할 뿐만 아니라 데이터를 가져가서 다크 웹에 공개하겠다고 위협하기도 합니다.데이터를 전혀 가져오지 않는 곳도 있습니다.예측이 불가능하고 방어하기도 어렵습니다.
질문: 오늘날 기업들이 랜섬웨어와 관련하여 잘못하고 있는 것은 무엇일까요?
DK: 랜섬웨어는 실제로 구조적인 문제이며 보안 조치는 항상 개선될 수 있지만 피해자가 그 자체로 “잘못된” 일을 하는 것은 아닙니다.실제로 두 가지 유형의 공격이 있습니다.어떤 것들은 방어하기가 거의 불가능한데, 바로 공급망 공격입니다.공급업체나 소프트웨어를 통해 들어옵니다.이들은 더 정교하고 수준이 너무 높아서 멈추는 것이 거의 불가능합니다.그리고 피싱이나 기존의 다른 취약점을 통해 들어오는 랜섬웨어도 있습니다.많은 랜섬웨어 공격이 이 범주에 속합니다.이러한 위험을 100% 차단하는 것은 불가능하지만, 간단한 예방 조치를 취하면 취약성을 확실히 줄일 수 있습니다.기업이 예방 측면에서 정말 집중해야 할 부분이 바로 이것입니다.
질문: 이중 강탈에 대해 말씀하셨잖아요랜섬웨어가 네트워크를 성공적으로 손상시킨 경우 데이터가 유출되었다고 조직은 가정해야 할까요?
DK: 조사하기 전까지는 아무 것도 가정하지 말아야 합니다.부당한 가정은 비용이 많이 들고 평판에 손상을 줄 수 있으며 부정확한 정보를 공유한 후에는 신뢰를 회복하기가 어렵습니다.랜섬웨어를 통한 데이터 유출은 예전보다 더 흔하지만 랜섬웨어는 존재하지만 데이터 유출은 없는 경우가 여전히 있습니다.일부 랜섬웨어 변종은 데이터를 유출할 수 있는 기술적 능력이 없습니다.
질문: 조직은 이 공격과 관련된 몸값을 지불해야 할까요?시간이 지남에 따라 랜섬웨어 결제와 관련된 적법성이 발전할까요?
DK: 매우 어려운 질문입니다.아무도 돈을 지불하지 않으면 우리 모두가 더 잘 살 수 있을 거라는 생각에 이의를 제기하기는 어렵습니다.하지만 여기 앉아서 가설에 대해 이야기하는 것과 회사가 문을 닫았을 때 운영을 할 수 없다면 하루에 수만 달러, 수십만 달러를 잃을 수도 있는 상황에 대해 이야기하는 것은 매우 다릅니다.궁극적으로 기업은 특정 상황에 따라 전체 또는 일부를 운영하지 못할 경우 발생하는 비용과 백업의 가용성 및 품질을 고려하여 결정을 내려야 합니다.
적법성 측면에서는 없지만 그 자체로 몸값 지불을 금지하기 때문에 회사는 지불에 제재가 가해지지 않도록 항상 확인해야 하며, 이는 잠재적으로 해외자산통제국 (OFAC) 규정을 위반할 수 있습니다.
몸값 지불을 완전히 불법으로 만들자는 이야기가 있지만 그럴 가능성은 거의 없다고 생각합니다.아직도 많은 회사들이 자사 비즈니스에 의존한다면 돈을 지불하기로 결정하겠지만, FBI와 협력하는 대신 랜섬웨어와 사건의 진상을 숨기고 정부의 조사를 방해할 수 있습니다.하지만 신고 의무화 요건이 새로 도입될 가능성은 매우 높다고 생각합니다.대부분의 회사는 이미 법 집행 기관에 랜섬웨어를 신고하고 있지만, 대금 지급 내역이 반드시 필요한 것은 아닙니다.신고를 의무화하면 상황이 달라질 수 있습니다.
질문: 랜섬웨어는 언제부터 최고 경영진과 이사회에서 문제가 되기 시작했나요?
DK: 지난 몇 년 동안, 특히 지난 1년 반 동안 이미 주목을 받기 시작한 것 같아요.하지만 콜로니얼 파이프라인 공격 이 파이프라인에 의존하고 있는 주에서는 사람들이 줄을 서서 가스를 찾으면서 정말 새로운 차원으로 올라갔습니다.그것이 일반 사람들에게 영향을 미친다는 이미지는 이전에는 볼 수 없었던 것입니다.그러니까 최고 경영진과 회의실뿐 아니라 거실까지 도달한 거죠.
질문: 이 주제에 대해 경영진과 이사회 구성원을 교육하는 가장 좋은 방법은 무엇이라고 생각하십니까?
DK: 랜섬웨어 이벤트가 회사에 어떤 영향을 미칠지 미리 알려주는 것이 중요하다고 생각합니다.고객과 다른 이해 관계자에게 미칠 영향을 보여주는 테이블 위에서 할 수 있는 연습이나 시나리오를 만드세요.기술 전문가가 아니어도 이것이 얼마나 큰 피해를 주는지 이해할 수 있습니다.실용적인 용어로 설명하고 다양한 의사 결정 사항을 살펴봄으로써 대부분의 경영진이 이에 매우 관심을 가질 것이라고 생각합니다.이러한 계획이 2년 전보다 더 많이 진행되고 있습니다.
질문: 이사회에는 비즈니스 내 다양한 영역에 대한 위원회가 있습니다.랜섬웨어를 자체 위원회로 만드는 것을 권장하십니까?다른 위원회에서 정기적으로 다루는 주제여야 할까요?
DK: 랜섬웨어에만 초점을 맞추는 위원회는 필요하지 않다고 생각합니다. 하지만 랜섬웨어가 포함되어야 하는 사이버 보안 문제에 대해 정기적으로 논의해야 합니다.이러한 논의는 회의록 내에 문서화되어야 합니다. 그래야 이사회가 이러한 문제를 심각하게 받아들이고 있다는 것을 알 수 있습니다.이는 이사회를 보호하는 역할도 하고, 이사회가 실사를 하고 있고, 이러한 문제에 대해 고민하고 있으며, 회사와 주주에 대한 신탁 의무를 다하고 있음을 보여줍니다.
질문: 랜섬웨어와 관련하여 현재 진행 중인 소송이 상당히 많습니다.조직에서 앞으로 이런 상황을 더 많이 보게 될 것이라고 생각하시나요? 그리고 경영진이 사이버 보안에 대한 향후 투자와 관련하여 고려해야 할 사항인가요?
DK: 확실히 한 가지 고려 사항입니다.소송이 제기될 가능성은 고객 또는 투자자의 성격, 소송 가능성 등 여러 요인에 따라 달라집니다.개인 데이터와 비즈니스 데이터를 구분하면 어떻게 되나요?유출될 수 있는 데이터의 특성은 무엇이며 얼마나 손상될 수 있나요?모든 회사의 위험 프로필은 다릅니다.
.png)